2018年第二季度中国银行业网络风险报告
作者: 日期:2018年09月21日 阅:7,437

第1章 概述

1.1 关于报告

21世纪的今天,信息技术越来越多的被应用于银行的各项业务,在给业务办理和组织运营带来方便和高效的同时,也带来了极大的安全隐患。银行作为一个特殊的机构,关乎国家经济命脉和人民生活。银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展。银行信息安全是业务开展的基础,是运营稳健的保障。

5月,我们发布了银行业第一季度网络安全分析报告,此次“安全值”同样采样了城市商业银行、股份制商业银行、国有商业银行、农村商业银行、政策性商业银行等5大类银行的160家机构,从互联网的角度从网络攻击、域名资产黑名单、垃圾邮件、僵尸网络、恶意代码、安全漏洞等6大类安全风险指标对采样银行进行了安全分析,将分析结果整理成本报告。

1.2 主要发现

互联网安全形势日趋复杂和严峻,银行面临的风险压力倍增,其中国有商业银行和股份制银行等大型银行面临的互联网风险更为严重。

从五类银行的横向比较结果来看,农村商业银行受到的互联网安全风险威胁相对较小。

24.4% 的银行机构使用了公有云服务,主要以阿里云和腾讯云为主。云服务在银行业整体互联网服务中占比较低。

采样银行中共发现7553个CVE高危安全漏洞,42.5%机构受到影晌,其中数量最多的是“IIS身份验证内存损坏漏洞”。

16%的银行机构遭受到了总计1732次DDoS拒绝服务攻击。

1.3 名词解释

  • 安全漏洞:主机操作系统和安装的组件存在的严重的高危漏洞,会使服务器遭受病毒或黑客入侵,引起信息泄露或篡改。
  • 网络攻击:企业在互联网上的应用系统或网络遭受到DDoS拒绝服务攻击,包括TCP攻击或UDP攻击的报警信息,拒绝服务攻击通过流量攻击的方式攻击系统或网络,过大的攻击流量会引起服务中断。
  • 垃圾邮件:组织邮箱服务器被列为垃圾邮件发送域,一旦被反垃圾邮件设备拦截,将导致用户可能无法正常使用邮件。
  • 恶意代码:来自国内外安全厂商的恶意代码检测结果,系统可能已经被植入后门、病毒或者恶意脚本。
  • 僵尸网络:组织服务器被攻破,被当做“肉鸡”不断向外部发起扫描或者攻击行为,服务器主机可能被入侵,存在后门被远程控制。
  • 黑名单:域名或者IP地址被权威黑名单机构列入黑名单,用户的正常网页访问可能被浏览器拦截或者IP网络通讯被防火墙阻断。

第2章 银行及各金融领域风险概况

2.1 银行与其他金融行业风险值对比

我们抽取了信托、金融综合服务、银行、保险、券商共五大大金融领域进行安全值分析。下图为金融行业的5个领域安全值排名情况。

从研究结果来看,第二季度银行业安全值得分为619分,网络安全风险值较上季度有明显下滑,其中第二季度五大类的金融行业网络安全值均低于700,处于遭受网络安全威胁的重灾区。近年来“互联网+金融”取得了—定成绩,但同时也带来了巨大的互联网威胁。银行业是关系国家的经济命脉的重点行业,网络安全威胁已经逐渐成为影响全球宏观经济与政治稳定的重要因素。

2.2 银行业安全数据概况

安全值对全国160家银行2018年第二季度的互联网资产和面临的网络风险进行了重点分析,共识别了抽样银行机构共计32282个互联网资产,其中域名341个,主机20798个,IP地址11143个;网络风险项共计7105个,集中包括安全漏洞384个,网络攻击1832次,域名信息泄露151条,僵尸网络533次,恶意代码223个。

2018年上半年银行业网络风险概况

根据上表可知:

  • 同比第一季度银行业网络风险情况,安全漏洞数量上升至第一季度的六倍,各类银行机构亟需加强安全漏洞扫描及修补的意识,高效预防不法分子的侵扰;
  • 网络攻击有所减少,但是数值依旧居高不下;
  • 域名信息泄露量同第一季度基本持平;
  • 僵尸网络数量比前一季度增加了23%;
  • 恶意代码较上季度上浮46%。

网络风险依旧严峻,要自始至终坚持安全防范意识,逐步采取全面、可行的安全防护措施,把安全风险降低到最小程度。

第3章 银行业风险四维评价

3.1 2018年第二季度银行业四维评价

五类银行网络安全评价

从互联网角度看,由于互联网资产规模的巨大,网络访问流行度较高,股份制银行及国有商业银行面临的互联网风险较大,但股份制商业银行的安全状况任然有上升趋势,可见第二季度股份制商业银行的安全工作效果显著。但各类银行机构的安全值均低于700,属于网络安全高风险的范围,银行业的外部安全形势日趋复杂和严峻。互联网的放大效应也加剧了信息安全事件的影响,导致银行面临的声誉风险倍增。

安全值借助大数据安全分析技术,能够更好地解决天量安全要素信息的采集、存储的问题。针对互联网发现的各类安全事件数据,结合其频率、影响、时间、数量等关键要素进行加权计算,从外部视角简洁明了的量化了金融领域的安全威胁状况,可以成为组织安全能力水平评估体系中的—项客观依据。

名词解释:

  • 风险指数(R):Risk,评分区间(0-1000分),风险越高R值越低。
  • 资产规模(S):Scale,评分区间(0-10分),机构的资产数量越多S值越高。
  • 风险趋势(T):Trend,评分区间(±1000分),当月与前一月R值变化趋势。
  • 流行度(P):Popular,评分区间(0-100分),被访问次数越多P值越高。

评估组织整体安全水平应通过内、外结合的评价方法,综合评估安全发现识别和响应处置的效率。下图是各类银行安全值评分及互联网资产的综合概况。

五类银行网络安全评价及资产规模

根据五类银行网络安全值可以发现,国有商业银行在五大类银行中安全风险值最低,遭受网络攻击的可能性最大,这与国有商业银行资产数量最多有分不开的关系,由于互联网暴露面的增加,给安全工作带来了非常大的难度,安全工作的效果难以评估。由上图可知,银行业各类机构的互联网风险水平与其资产规模、访问流行度均成正比。

3.2 银行机构互联网资产分析

银行业160机构家机构中共发现互联网资产32282个,包括组织注册的域名341个,面向互联网可访问的主机地址20798个,以及公网开放的服务器IP地址11143个。为了分析银行互联网业务开展情况,利用下表数据统计了各类银行平均资产数量:

互联网资产数量统计

其中国有商业银行每个机构平均拥有1023个互联网资产,是各类银行中最多的,这与其全国性的业务范围有一定关系,也说明其面临的互联网威胁更为严峻,城市商业银行中平均每个机构仅有67个互联网资产。股份制商业银行云迁移比例最高为50%。

名词解释:

  • 域名:组织经过ICP备案的域名;
  • 主机:面向互联网开放的主机服务地址(例如Web网站、Email服务、接口服务、业务系统等);
  • IP地址:在线系统使用的IP地址(包括本地服务器、IDC托管、云主机等);
  • 云迁移:有互联网资产属于云服务的机构。

第4章 银行第二季度安全风险总览

4.1 五大银行网络风险概况

各类安全风险影响机构数量占比

根据表格中数据可以得出,安全漏洞、隐私保护是所有银行面临的共同安全问题,其中国有商业银行及政策性银行在第二季度均出现过高危漏洞;由于大型银行网络业务发展较快,互联网资产规模较大,大部分业务均可在网上办理,导致了国有商业银行及股份制商业银行面的互联网威胁较多;政策性银行网络业务较少,因此,网络攻击及恶意代码威胁明显低于其他银行。从总体平均水平来看,安全漏洞及恶意代码、信息泄露是银行业面临的三大影响最大的风险。

同比第一季度网络安全值,银行机构网络安全风险普遍增加,遭受各类攻击的风险加大,在几类银行机构中皆存在着垃圾邮件、恶意代码、僵尸网络等网络安全风险,一旦银行机构发生恶意代码或僵尸网络事件,都可能导致业务中断事件的发生,甚至影响到银行的声誉以及未来业务的良好开展。

第5章 安全漏洞分析

5.1 半数以上银行机构存在安全漏洞隐患

2018年第二季度,银行业评估的160家机构中,共发现7553个CVE (Common Vulnerabilities and Exposures) 漏洞,共140种漏洞,其中个数超过100个以上的漏洞有15种,53%的银行机构存在比较严重的安全漏洞,漏洞类型为 202个CVE-2010-1256( IIS认证令牌处理远程代码执行漏洞),191个CVE-2010-1899(ASP实施栈消耗漏洞),166个CVE-2012-2532(OpenSSH 权限许可和访问控制漏洞),162个CVE-2017-7679(Apache HTTP Server mod_mime缓冲区溢出漏洞),162个 CVE-2012-2531( IIS密码信息泄露漏洞)。这些漏洞—旦被利用,可能会造成严重的信息泄露或者系统中断,组织可以通过安装补丁消除安全漏洞隐患,并遵循服务最小化原则。

安全漏洞分布

报告发现53%的银行机构存在安全漏洞,其中最为普遍的为CVE安全漏洞,从信息系统生命周期来看,从设计、编码到上线运行各环节都有可能造成安全漏洞,机构应建立完善的漏洞管理体系,加强人员管理,建立多方预防、及时发现、快速预警的常态化机制,规范安全制度等全方位提升安全能力。面对“互联网+”新型信息安全威胁,及时分析银行机构内存在的问题,研发有针对性的防御产品,形成产学研用一体化的良性循环。

5.2 安全漏洞详细说明

漏洞详细信息如下:

第6章 网络攻击

6.1 银行机构网络攻击分布

网络攻击分布

2018年第二季度,评估的160家金融行业机构中,有16%的机构受到DDoS攻击的威胁,共遭受到DDoS网络攻击1732次,其中城市商业银行成为DDoS网络攻击的重灾区。

拒绝式服务攻击DDoS已经是当前互联网安全比较常见的威胁,可以消耗系统和网络资源,使其无法为正常用户提供服务。这对银行业来讲几乎是致命的打击,面对来自黑客或者竞争对手的威胁,如支付、转账系统,—旦支付接口无法提供服务,将造成的将是用户财产以及银行信誉的双重损失。

针对目前不断演化的网络威胁形势,银行机构应将DDoS防御视为IT安全的首要任务。网络攻击重则会造成银行机构失去业务机会,即损失合同或运营终止,再者为信誉损失、负面的客户体验或合作伙伴体验会让银行机构丧失签署新合同或销售的机会。部分会导致因相关服务无法访问而损失当前客户。故应预先评估所有可能的风险,采取措施针对DDoS攻击进行防护。

6.2 DDoS攻击类型及分布情况

第二季度银行业遭受DDoS攻击攻击1732次,详细见下表:

 

根据上表结果,UDP放大攻击和TCP半连接攻击占据网络攻击的主要部分,对于这两种类型的DDOS攻击,建议采取以下措施:对于UDP放大攻击,可以通过限制UDP包大小,或建立UDP连接规则来达到过滤恶意UDP包,减少攻击发生的效果;防范TCP半连接攻击,主要通过缩短SYN响应时间或设置SYN Cookie过滤TCP包等手段来实施。

6.3 其他攻击分布情况

银行机构恶意代码和隐私泄露分布

目前,恶意代码攻击目标性越来越强,如果内网终端的安全得不到全面保障,恶意代码势必将全面进入内部终端,安装设置后门程序、盗窃密码,占用网络带宽,严重影响工作效率,增加支持成本。致使银行机构的用户财产及业务数据面临被窃取丢失的风险。

根据表中数据可知,国有商业银行和股份制商业银行遭受恶意代码攻击占比最大,银行机构共被恶意代码攻击151次。由于恶意代码有相当的复杂性和行为不确定性,防范它需多种技术综合应用,例如:恶意代码监测预警、传播抑制、漏洞自动修复、阻断恶意代码等等。

五大类银行机构的域名隐私泄露占比均高于85%,其中国有商业银行、股份制商业银行、政策性银行均为100%,各大银行机构可以根据各自不同需求登录WHOIS更改隐私设置。

第7章 更多信息

本报告由“安全值”团队提供,如需更多、更详细数据请与我们取得联系。安全值是国内首个安全评价服务(SRS,Security Rating Service)。目前正面向企业提供免费评估服务,您可访问安全值免费评估网站来获取您的企业评估报告。我们同样面向全国各行业的安全状况进行分析。如果您需要长期订阅安全值分析报告,可扫下方二维码进入“牛市”来订阅安全值年服务(全年每月一份安全值评估报告)。

联系我们:

  • 安全值网站地址:https://www.aqzhi.com
  • 安全值知识库:http://wiki.aqzhi.com
  • 服务邮箱:support@aqzhi.com
  • 联系电话:400-070-6887
  • QQ:2674163033

 

北京谷安天下科技有限公司

安全值团队

2018年8月

第8章 附录

8.1 银行业高危漏洞清单

8.2 银行分类列表

8.2.1 城市商业银行

8.2.2 股份制商业银行

8.2.3 国有商业银行

8.2.4 农村商业银行

8.2.5 政策性银行

相关阅读

2018年第一季度中国保险行业安全值报告

2018年第一季度中国银行业网络风险报告

2017年度银行业网络安全报告

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章